MPLS VPN在城域网中的应用

1 引言

随着 VPN 技术的逐渐成熟，大众化的应用效果促使其在企业的应用中能够基于公网的基础上形成逻辑虚拟网，这样的网络环境相对较为隐秘且安全，能够促使企业的分支结构与合作伙伴以及用户之间形成可靠连接，在逐渐发展过程中，更是形成了基于 MPLS-VPN技术形式的存在，以三层无连接路由以及二层转发机制优势为用户提供更加快速服务的同时，保障了信息质量与安全，并有效降低成本[1]。传统的E1专线以及VPN这种通信方式，已经很难去契合企业不断往上升的通信需求了，高效并且稳定的城域网系统成为了运营商业务运营当中很关键的一个组成部分，因此需要对城域网开展mpls VPN规划与设计工作[2]。

2 MPLS VPN 在城域网中的应用场景

2.1项目背景

汇域国际商务有限公司是一家国际商务服务整合型企业，总部设于深圳，并在广州、厦门、上海、北京及亚太地区多个城市设有服务网点。公司分部于深圳、广州、厦门、上海、北京、中国香港地区、新加坡、日本、中国台湾地区等环布亚太区域的服务据点。公司在基础设施建设方面已具备一定规模，能够提供运营商级的数据中心互联网接入、高速企业专线以及云网络服务，形成了本地化服务的核心优势。接下来将以公司北京、上海、广州和东南亚四个具有代表性的分部基于公司目前业务发展的需求，在现有网络资源的基础上应用mpls VPN技术进行改造升级。

2.2 单域专网服务

在单域mpls VPN中，一个VPN中的所有用户形成闭合用户群，相互之间能够进行流量转发，VPN中的用户不能与其它VPN用户通信。将公司的每各分部划分为一个自治域。单域mpls VPN的自治域内部（包括P和PE）运行MPLS协议，在为数据包打上标签的同时实现快速分发，提高数据转发的效率。

用户边缘设备CE与PE相连，实现用户的接入。充当核心层的PE在直连的情况下可以减少不必要的数据转发流程，优化了网络结构，但由于PE需要同时提供接入、处理、转发服务，因此对设备的性能有较高的要求，如果大量部署PE设备，不仅会破坏原有的网络设备体系，而且不利于降低投入成本。因此可以将传输和转发功能交由P来处理。

3 跨域资源协同

互联网正经历着从提供单一服务向多服务相互融合发展的模式转型[3]，汇域国际也如此，公司的四个分部，采用option C来现实分部之间的远距离跨域通信。Option C通过在各自治域的边界设ASBR与其他自治域建立EBGP邻居，不同自治域之间的ASBR之间采用全互连的结构，能有效防止因个别线路故障影响整体的数据传输。每个自治域设置RR，起到维护BGP邻居关系，传递路由，简化配置的作用。在同一个自治域中，RR连接骨干网络，并与ASBR直连建立IBGP邻居，与PE建立VPNV4邻居。在不同的自治域中，各自治域的RR之间相互建立VPNV4邻居，通过VPNV4传递跨域路由信息实现跨域通信。

4 城域网中 MPLS VPN 的设计方案

4.1 网络拓扑架构

汇域国际采用三层架构设计城域网：

（1）核心层，在核心层这里要部署有高性能的 Provider Edge设备，主要负责虚拟专用网络方面的路由计算工作，也承担着标签分发的任务，并且，采用全互联的结构来保障设备的冗余性。

（2）汇聚层：部署 P 设备，承担数据转发任务，减轻核心层压力。

（3）接入层方面，这里要凭借部署 CE 设备，来实施用户网络安全接入控制工作，并且要基于预先设置好的安全策略，构建起终端和核心网络之间的可信互联机制。

4.2 DDoS攻击防护

（1）控制平面保护：通过定义的访问控制列表识别控制的流量，匹配相应的映射策略来实现对控制平面的保护，控制平面保护能对某一类型的流量做出相应策略回应。

（2）接口限速：通过限制接口的流量来实现控制流量进入城域网内部，可以有效降低DOS、DOS攻击造成的危害。（3）流量监控：NetFlow配置用于流量监控，通过对流量的监控，能有效发现异常流量的突变等情况。

5 测试验证与应用效果

基于 EVE-NG 平台构建仿真网络，模拟 4 个自治域、20 台核心设备及 10 个用户站点，测试内容包括：

（1）连通性：单域内 CE 互 ping 成功率 100%，跨域 CE 互 ping 成功率 100%；